论文部分内容阅读
随着网络技术的飞速发展,我们的生活,学习,工作和娱乐与网络联系得越来越紧密。我们充分享受网络带给我们的方便的同时,各种各样的病毒,木马等恶意软件也在网络上大肆流行。这些恶意软件破坏我们的电子数据,盗取我们的个人信息,控制我们的个人电脑,最终导致我们个人财产的损失。我们需要详细研究各种恶意软件技术,来保护我们的个人财产和信息。文章对严重威胁网络与信息安全的技术——内核级Rootkit进行了详细的研究。
Rootkit是攻击者在入侵系统后用来躲避各种安全软件的监控,长期隐藏在系统中监控用户行为,窃取用户信息的技术。Rootkit区别于其他恶意软件最大的特点是隐藏,是长期无法被检测的隐藏于系统中。Rootkit不但可以隐藏自己,还可以隐藏其他恶意软件。
目前Rootkit技术最新的发展方向是与病毒,木马等恶意软件结合。Rootkit隐藏这些恶意软件的行为来躲避各种安全软件的监控,这些恶意软件负责发动攻击,窃取用户信息等等。Rootkit和其他的恶意软件的结合,导致了以前可以被杀毒软件通过特征码扫描轻易发现的病毒,木马等恶意软件,现在却无法被发现。因为Rootkit已经隐藏了恶意软件的文件,进程,注册表等等信息,杀毒软件连恶意软件的文件的找不到,就无法扫描了,更不可能清除它们。
本文对Rootkit检测技术和系统修复技术进行了详细的研究,主要的工作包括如下:
首先,概述了Rootkit的研究背景,研究内容,研究现状,论文的组织结构,Rootkit的定义,分类,与其他的恶意软件的区别和它的危害。
其次,详细研究了Rootkit使用的各种技术。针对Rootkit使用的技术,详细研究了Rootkit的检测技术和系统修复技术。
再次,详细分析当前使用得比较多的Rootkit检测工具“IceSword和RootkitUnhooker”的检测技术。IceSword检测进程采用ExEnumHandleTable函数获得进程列表,Rootkit通过挂钩ExEnumHandleTable函数,绕过IceSword的进程检测。针对该问题本文提出了不使用ExEnumHandleTable函数获取进程列表的方法。Rootkit Unhooker检测内联钩子存在误检的问题,如果盲目使用修复功能,将导致系统崩溃。本文提出使用调试器实际观察汇编代码来解决这个问题。
然后,本文在系统分析中断描述符表的基础上,提出通过备份真实中断描述符表的方法检测和修复中断描述符表。该方法可以阻止Rootkit挂钩中断描述符表,获得系统内核的控制权。
接着,提出修复驱动程序的I/O请求报文处理程序钩子的方法。本文首先通过反汇编fat32文件系统的驱动程序fastfat.sys获得特征码,然后利用特征码在硬盘上的fastfat.sys文件中查找I/O请求报文处理程序的地址,最后通过这个地址计算出I/O请求报文处理程序在内存中的真实地址。该方法可以阻止Rootkit隐藏文件,目录,通讯端口和通讯流量等等。
最后,提出Rootkit检测和系统修复的总体思想。
本文对Windows Rootkit的检测技术和系统修复技术进行了分析和总结,针对其中的存在的问题进行改进,获得的研究成果弥补了现有Windows Rootkit的检测技术和系统修复技术的不足。